Sistemas & Desarrollo
271 meneos
6338 clics
Cómo usé una búsqueda sencilla en Google para extraer contraseñas de docenas de tarjetas públicas de Trello [ENG]

Cómo usé una búsqueda sencilla en Google para extraer contraseñas de docenas de tarjetas públicas de Trello [ENG]

Hace unos días, el 25 de abril, mientras investigaba, descubrí que muchas personas y compañías están poniendo su información confidencial en sus tarjetas públicas de Trello. Información como errores no arreglados y vulnerabilidades de seguridad, credenciales de sus cuentas de redes sociales, cuentas de correo electrónico, tableros de administración y servidores, lo que usted quiera, están disponibles en sus tarjetas de Trello públicas que están siendo indexadas por todos los motores de búsqueda y cualquiera puede encontrarlos fácilmente.

| etiquetas: trello , tarjetas , búsqueda sencilla , extraer , contraseñas
126 145 2 K 53
58 comentarios
126 145 2 K 53
Comentarios destacados:        
  1. JoulSauron #1 JoulSauron
    A-LU-CI-NAN-TE.
    2 K 26
  2. #2 --520634--
    Es como el post-it con la contraseña pegado al monitor pero visible universalmente. :-D
    23 K 196
  3. #3 flixter
    {0x1f602} {0x1f602} {0x1f602} Que grande
    1 K 10
  4. #4 Sandler
    Te tienes que reir..
    0 K 8
  5. #5 --516070--
    Que se le haya ocurrido la búsqueda es, en sí, algo divertido de leer y curioso. Pero no podemos olvidar que los que tengan un tablero de trello público son personas o grupos de trabajo a los que les va dando igual que todo el mundo sepa lo que hacen.

    Alguno pensará que va a encontrar las contraseñas de acceso de Bill Gates. Yo no tengo público, ya que privado es por defecto, ni el tablero donde ponemos las tareas de la casa que quedan por hacer.

    Pero sí, en general, gran meneo.
    1 K 19
  6. cybervirtualman #6 cybervirtualman *
    Esto me recuerda a cuando buscas en el eMule clientes.mdb o cuentas.xls nominas.pdf y cosas así.
    10 K 87
  7. #7 capitan.meneito
    #6 dni encontré algunos xD
    1 K 15
  8. payola #8 payola
    Y con esta búsqueda, tarjetas repletas de passwords. URL de redes sociales y servidores, con su usuario y contraseña. Roots de bases de datos, servicios detallados... todo, almacenado en tarjetas públicas. ¿Esperaban acaso que la "seguridad por seguridad" les ayudara? ¿Cómo se puede ser tan torpe?
    0 K 9
  10. payola #10 payola
    #8 Quería poner "seguridad por oscuridad", lo he escrito muy de primera mañana {0x1f613}
    0 K 9
  11. redscare #11 redscare
    La gente es idiota. Otra explicación no hay.
    2 K 26
  12. #12 stroke
    La noticia es antigua, creo recordar que ya estaba incluso corregido.
    0 K 8
  13. leader #13 leader
    #12 No tienes más que hacer la búsqueda para darte cuenta de que no está corregido. Y si me apuras, diría que no se puede corregir, ya que no hay ningún bug. Si la gente publica algo, pues es público.
    12 K 121
  14. #14 --569083--
    Y encima es muy común usar la misma contraseña para varios servicios diferentes...
    0 K 7
  15. #15 --541318--
    Bueno, pero esto se evita simplemente teniendo el tablero como privado.
    1 K 14
  16. EdmundoDantes #16 EdmundoDantes
    #5 Tú crees que a alguien le da igual compartir públicamente las contraseñas de su linkedin corporativo, por ejemplo?
    1 K 18
  17. #17 Pedro_Chosco *
    #13 De hecho, la búsqueda en castellano arroja resultados del mismo tipo: inurl: "trello.com AND intext:contraseña".
    0 K 10
  18. Naiyeel #18 Naiyeel
    #15 En realidad se evita teniendo un post it de los de antes, por lo menos asi el hacker tiene que entrar a tu casa.

    Es como estos que han perdido mucha pasta en bitcoins por tener las pass y direcciones en keep o evernote, te clonan la sim y estas jodido.
    0 K 9
  20. BodyOfCrime #20 BodyOfCrime
    #13 con añadir noindex al meta robots deja de indexarse en Google
    0 K 9
  21. #21 --80628--
    #11 La gente no es consciente de lo que está haciendo y lo hace sin ningún cuidado.
    0 K 8
  23. EdmundoDantes #23 EdmundoDantes *
    #20 Pero por qué no va a indexarse? Aquí el fallo es claramente del usuario, yo puedo tener un tablero público y querer aparecer en búsquedas, porque para eso es público. El problema es que la gente pone como públicas cosas que son privadas.
    1 K 17
  24. Bff #24 Bff
    Flipante.
    0 K 10
  27. BodyOfCrime #27 BodyOfCrime *
    #23 porque googlebot no manda al indexador aquellas páginas con la meta etiqueta noindex.




    support.google.com/webmasters/answer/93710?hl=es

    Edit: Vale, que no preguntabas por la explicación de como funciona el rastreo xD
    0 K 9
  29. Mskina #29 Mskina
    #18 ¿Qué tiene que ver la SIM (físico) con Evernote o Keep (digital)?
    0 K 9
  30. vaiano #30 vaiano
    Yo acabo de hacer otra sencilla búsqueda y resulta que hace casi un año que se ha publicado esta noticia en diferentes medios.
    Ya no es lo que era meneame que era el primer medio en hacerse eco de estas cosas.
    Ahora grabe también que yo acabo de encontrar varios tableros con mogollón de info importante que barbaridad. Paso de meterme en el correo de la gente pero alguno tiene su móvil y es para enviarle un wasap y decirle quita eso loco pero ya.
    0 K 9
  32. meso #32 meso *
    #17 jajaja ¿Habeis hecho la busqueda en Español? Hasta contraseñas del paypal! :hug: :hug: :hug:
    0 K 7
  33. #33 owenwang
    #13 #17 Pues anda que si pones:
    inurl:trello.com AND intext:PayPal AND intext:password
    :-D :-D :-D
    4 K 33
  34. Gualterio_Blanco #34 Gualterio_Blanco
    Lo que se encuentra uno buscando "paypal site:trello.com" :-S
    0 K 6
  35. #35 jmpep
    No he podido evitar que sonase en mi cabeza "How silly can you get" mientras leía el artículo... Alucinante.

    -> www.youtube.com/watch?v=TSM2gMOmheA
    0 K 7
  39. #39 --482411--
    #33 La ostia....
    0 K 10
  41. jacapaca #41 jacapaca
    #7 bueee, eso es mas facil todavia, con buscar cualquier documento publico tipo listas de empleo, becas o aceptacion a cursos. Ya aparecen los datos dni incluido
    0 K 6
  43. #43 Mschumacher
    #2 os sorprenderíais lo que se puede sacar con OSINT
    1 K 22
  45. #45 capitan.meneito
    #41 eran fotos o pdf y veias el careto del payo xD
    1 K 15
  47. #47 --556871--
    No hay nube segura, cuantos menos datos salgan de tu ordenador mejor.
    0 K 7
  48. Naiyeel #48 Naiyeel
    #29 Si te autentificas con tu cuenta de google, que usa tu numero de telefono para temas de seguridad, como recuperación de contraseña, hay diferentes modos de hacerte con ese numero de teléfono y entonces toda la seguridad se va a la mierda, es lo que ha pasado en los últimos casos de robos importantes de cryptos en USA.

    www.theverge.com/2018/8/15/17695132/att-sued-over-lost-cryptocurrency-

    Aquí un poco mas de info en Español.

    www.movilzona.es/2018/09/05/pirateo-tarjeta-sim-evitarlo/
    0 K 9
  49. chemari #49 chemari
    #46 #44 lo siento no he podido leer todo el hilo, al final quien de los dos la tiene más larga?
    2 K 23
  52. Mskina #52 Mskina
    #48 En la noticia en inglés no dan información de cómo lo consiguieron; en la que está en español lo que indica es que hay que hacer un duplicado de SIM, cosa que en persona solo se debería hacer si es la persona titular y por teléfono te la tienen que enviar a casa, al tiempo que se desactiva la original. No sé, lo veo complicado para que la persona titular no sea consciente de lo que ocurre
    0 K 9
  53. #53 --516070--
    #16 No son casos comparables.
    0 K 8
  54. EdmundoDantes #54 EdmundoDantes
    #53 Cómo comparable? Es literalmente de lo que habla el artículo:

    People also use Public Trello boards as a fancy public password manager for their organization’s credentials.

    Some examples included the server, CMS, CRM, business emails, social media accounts, website analytics, Stripe, AdWords accounts, and much more.
    0 K 10
  55. Naiyeel #55 Naiyeel
    #52 Complicado o fácil es algo tan subjetivo como los conocimientos de una persona, tu lo ves complicado, otros lo ven demasiado fácil, como esto de buscar contraseñas en la red a lo que se refiere el articulo.
    0 K 9
  56. #56 --516070--
    #54 Sí, pero dentro de una cuenta trello pública. No gratuita que lo son todas, sino directamente públicas.

    Dudo mucho que ninguna de esas claves sean relevantes. Serán cuentas de pruebas, tests...
    0 K 8
  57. neo22s #57 neo22s
    #33 brutal {0x1f605}
    0 K 9
  58. Mskina #58 Mskina
    #55 Me refiero con complicado a que si te deja de funcionar la SIM (porque cuando sacas un duplicado es lo que ocurre) , lo normal es que llames a tu compañía para saber que ocurre y tomar medidas
    0 K 9
comentarios cerrados

menéame